Product Documentation

Vorbereiten der Linux-Maschine für die Installation des virtuellen Desktops

Nov 01, 2016

Vorbereiten von RHEL 6/CentOS 6 für die VDA-Installation

Überprüfen der Netzwerkkonfiguration

Citrix empfiehlt, dass Netzwerk zu verbinden und richtig zu konfigurieren, bevor Sie fortfahren.

Festlegen des Hostnamens

Damit der Hostname der Maschine richtig gemeldet wird, ändern Sie die Datei /etc/hostname, sodass sie nur den Hostnamen der Maschine enthält.

HOSTNAME=hostname

Zuweisen einer Loopbackadresse für den Hostnamen

Damit der DNS-Domänenname und der vollqualifizierte Domänenname (FQDN) der Maschine richtig gemeldet werden, ändern Sie die folgende Zeile in der Datei /etc/hosts, sodass der FQDN und der Hostname die ersten zwei Einträge sind:

127.0.0.1 hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4

Beispiel:

127.0.0.1  vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4

Entfernen Sie alle anderen Verweise auf hostname-fqdn oder hostname aus anderen Einträgen in der Datei.

Hinweis

Der Linux VDA unterstützt derzeit keine abgeschnittenen NetBIOS-Namen, daher darf der Hostname nicht länger als 15 Zeichen sein.

Tipp

Verwenden Sie nur Buchstaben (a-z oder A-Z), Ziffern (0-9) und Bindestriche (-). Vermeiden Sie Unterstriche (_), Leerzeichen und andere Symbole. Hostnamen sollten nicht mit einer Zahl beginnen und nicht mit einem Bindestrich enden.

Überprüfen des Hostnamens

Stellen Sie sicher, dass der Hostname richtig festgelegt ist:

command Kopieren

hostname

Nur der Hostname der Maschine sollte zurückgegeben werden und nicht der vollqualifizierte Domänenname (FQDN).

Stellen Sie sicher, dass der FQDN richtig festgelegt ist:

command Kopieren

hostname -f

Der FQDN der Maschine sollte zurückgegeben werden.

Überprüfen von Namensauflösung und Diensterreichbarkeit

Stellen Sie sicher, dass Sie den FQDN auflösen können und pingen Sie den Domänencontroller und den XenDesktop Delivery Controller:

command Kopieren

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn

Wenn Sie den FQDN nicht auflösen und eine der beiden Maschinen nicht pingen können, überprüfen Sie die vorherigen Schritte, bevor Sie fortfahren.

Konfigurieren der Uhrsynchronisierung (NTP)

Es ist wichtig, dass die Uhrsynchronisierung zwischen den VDAs, den XenDesktop Controllern und den Domänencontrollern genau ist. Beim Hosten eines Linux VDAs als virtuelle Maschine kann es zu Zeitabweichungen kommen. Aus diesem Grund sollte die Zeit remote von einem Zeitdienst synchronisiert werden.

RHEL 6.x und frühere Releases verwenden den NTP-Daemon (ntpd) zum Synchronisieren der Uhr, während in einer RHEL 7.x-Standardumgebung der neuere Chrony-Daemon (chronyd) verwendet wird. Die Konfiguration und Betriebsprozesse zwischen den beiden Diensten sind ähnlich.

Konfigurieren des NTP-Diensts

Bearbeiten Sie als Root-Benutzer die Datei /etc/ntp.conf und fügen Sie pro Remote-Zeitserver einen Servereintrag hinzu:

command Kopieren

server peer1-fqdn-or-ip-address iburst

server peer2-fqdn-or-ip-address iburst

In einer typischen Bereitstellung sollte die Zeit von den lokalen Domänencontrollern synchronisiert werden und nicht direkt von öffentlichen NTP-Poolservern. Fügen Sie pro Active Directory-Domänencontroller in der Domäne einen Servereintrag hinzu.

Entfernen Sie alle anderen Servereinträge, einschließlich Einträge für Loopback-IP-Adressen, Localhost und öffentliche Server wie *.pool.ntp.org.

Speichern Sie die Änderungen und starten Sie den NTP-Daemon neu:

command Kopieren

sudo /sbin/service ntpd restart

Installieren von OpenJDK

Der Linux VDA ist von OpenJDK abhängig. Die Laufzeitumgebung sollte als Teil der Betriebssysteminstallation installiert worden sein.

Bestätigen Sie die richtige Version mit folgendem Befehl:

command Kopieren

sudo yum info java-1.7.0-openjdk

Das OpenJDK-Paket ist möglicherweise eine frühere Version. Aktualisieren Sie ggf. auf die aktuelle Version:

command Kopieren

sudo yum -y update java-1.7.0-openjdk

Legen Sie die Umgebungsvariable JAVA_HOME fest, indem Sie der Datei ~/.bashrc folgende Zeile hinzufügen:

export JAVA_HOME=/usr/lib/jvm/java

Öffnen Sie eine neue Shell und prüfen Sie die Java-Version:

command Kopieren

java –version

Tipp

Stellen Sie zum Vermeiden von Problemen sicher, dass die OpenJDK-Version 1.7.0 oder 1.8.0 installiert ist. Entfernen Sie alle anderen auf dem System vorhandenen Java-Versionen.

Installieren von PostgreSQL

Der Linux VDA erfordert entweder PostgreSQL 8.4 oder höher unter RHEL 6.

Installieren Sie die folgenden Pakete:

command Kopieren

sudo yum -y install postgresql-server

sudo yum -y install postgresql-jdbc

Anschließend ist der folgende Schritt erforderlich, um die Datenbank zu initialisieren und zu gewährleisten, dass der Dienst beim Booten startet. Mit dem Befehl werden unter /var/lib/pgsql/data Datenbankdateien erstellt. 

command Kopieren

sudo /sbin/service postgresql initdb

Starten von PostgreSQL

Für beide Versionen von PostgreSQL müssen Sie den Dienst so konfigurieren, dass er beim Booten startet und auch sofort startet:

command Kopieren

sudo /sbin/chkconfig postgresql on

sudo /sbin/service postgresql start

Überprüfen Sie die Version von PostgreSQL mit folgendem Befehl:

command Kopieren

psql --version

Stellen Sie mit dem psql-Befehlszeilenprogramm sicher, dass das Datenverzeichnis festgelegt ist:

command Kopieren

sudo -u postgres psql -c 'show data_directory'

Vorbereiten von RHEL 7/CentOS 7 für die VDA-Installation

Überprüfen der Netzwerkkonfiguration

Citrix empfiehlt, dass Netzwerk zu verbinden und richtig zu konfigurieren, bevor Sie fortfahren.

Festlegen des Hostnamens

Damit der Hostname der Maschine richtig gemeldet wird, ändern Sie die Datei /etc/hostname, sodass sie nur den Hostnamen der Maschine enthält.

Zuweisen einer Loopbackadresse für den Hostnamen

Damit der DNS-Domänenname und der vollqualifizierte Domänenname (FQDN) der Maschine richtig gemeldet werden, ändern Sie die folgende Zeile in der Datei /etc/hosts, sodass der FQDN und der Hostname die ersten zwei Einträge sind:

127.0.0.1 hostname-fqdn hostname localhost localhost.localdomain localhost4 localhost4.localdomain4

Beispiel:

127.0.0.1  vda01.example.com vda01 localhost localhost.localdomain localhost4 localhost4.localdomain4

Entfernen Sie alle anderen Verweise auf hostname-fqdn oder hostname aus anderen Einträgen in der Datei.

Hinweis

Der Linux VDA unterstützt derzeit keine abgeschnittenen NetBIOS-Namen, daher darf der Hostname nicht länger als 15 Zeichen sein.

Tipp

Verwenden Sie nur Buchstaben (a-z oder A-Z), Ziffern (0-9) und Bindestriche (-). Vermeiden Sie Unterstriche (_), Leerzeichen und andere Symbole. Hostnamen sollten nicht mit einer Zahl beginnen und nicht mit einem Bindestrich enden.

Überprüfen des Hostnamens

Stellen Sie sicher, dass der Hostname richtig festgelegt ist:

command Kopieren

hostname

Nur der Hostname der Maschine sollte zurückgegeben werden und nicht der vollqualifizierte Domänenname (FQDN).

Stellen Sie sicher, dass der FQDN richtig festgelegt ist:

command Kopieren

hostname -f

Der FQDN der Maschine sollte zurückgegeben werden.

Überprüfen von Namensauflösung und Diensterreichbarkeit

Stellen Sie sicher, dass Sie den FQDN auflösen können und pingen Sie den Domänencontroller und den XenDesktop Delivery Controller:

command Kopieren

nslookup domain-controller-fqdn

ping domain-controller-fqdn

nslookup delivery-controller-fqdn

ping delivery-controller-fqdn

Wenn Sie den FQDN nicht auflösen und eine der beiden Maschinen nicht pingen können, überprüfen Sie die vorherigen Schritte, bevor Sie fortfahren.

Konfigurieren der Uhrsynchronisierung (NTP)

Es ist wichtig, dass die Uhrsynchronisierung zwischen den VDAs, den XenDesktop Controllern und den Domänencontrollern genau ist. Beim Hosten eines Linux VDAs als virtuelle Maschine kann es zu Zeitabweichungen kommen. Aus diesem Grund sollte die Zeit remote von einem Zeitdienst synchronisiert werden.

RHEL 6.x und frühere Releases verwenden den NTP-Daemon (ntpd) zum Synchronisieren der Uhr, während in einer RHEL 7.x-Standardumgebung der neuere Chrony-Daemon (chronyd) verwendet wird. Die Konfiguration und Betriebsprozesse zwischen den beiden Diensten sind ähnlich.

Chrony-Dienst

Bearbeiten Sie als Root-Benutzer die Datei /etc/chrony.conf und fügen Sie pro Remote-Zeitserver einen Servereintrag hinzu:

server peer1-fqdn-or-ip-address iburst

server peer2-fqdn-or-ip-address iburst

In einer typischen Bereitstellung sollte die Zeit von den lokalen Domänencontrollern synchronisiert werden und nicht direkt von öffentlichen NTP-Poolservern. Fügen Sie pro Active Directory-Domänencontroller in der Domäne einen Servereintrag hinzu.

Entfernen Sie alle anderen Servereinträge, einschließlich Einträge für Loopback-IP-Adressen, Localhost und öffentliche Server wie *.pool.ntp.org.

Speichern Sie die Änderungen und starten Sie den Chrony-Daemon neu:

command Kopieren

sudo /sbin/service chronyd restart

Installieren von OpenJDK

Der Linux VDA ist von OpenJDK abhängig. Die Laufzeitumgebung sollte als Teil der Betriebssysteminstallation installiert worden sein.

Bestätigen Sie die richtige Version mit folgendem Befehl:

command Kopieren

sudo yum info java-1.8.0-openjdk

Das OpenJDK-Paket ist möglicherweise eine frühere Version. Aktualisieren Sie ggf. auf die aktuelle Version:

command Kopieren

sudo yum -y update java-1.8.0-openjdk

Legen Sie die Umgebungsvariable JAVA_HOME fest, indem Sie der Datei ~/.bashrc folgende Zeile hinzufügen:

export JAVA_HOME=/usr/lib/jvm/java

Öffnen Sie eine neue Shell und prüfen Sie die Java-Version:

command Kopieren

java –version

Tipp

Stellen Sie zum Vermeiden von Problemen sicher, dass die OpenJDK-Version 1.8.0 installiert ist. Entfernen Sie alle anderen auf dem System vorhandenen Java-Versionen.

Installieren von PostgreSQL

Der Linux VDA erfordert PostgreSQL 9.2 oder höher unter RHEL 7.

Installieren Sie die folgenden Pakete:

command Kopieren

sudo yum -y install postgresql-server

sudo yum -y install postgresql-jdbc

Anschließend ist der folgende Schritt erforderlich, um die Datenbank zu initialisieren und zu gewährleisten, dass der Dienst beim Booten startet. Mit dem Befehl werden unter /var/lib/pgsql/data Datenbankdateien erstellt. 

command Kopieren

sudo postgresql-setup initdb

Starten von PostgreSQL

Für beide Versionen von PostgreSQL müssen Sie den Dienst so konfigurieren, dass er beim Booten startet. Sofort starten:

command Kopieren

sudo systemctl start postgresql

sudo systemctl enable postgresql

Überprüfen Sie die Version von PostgreSQL mit folgendem Befehl:

command Kopieren

psql --version

Stellen Sie mit dem psql-Befehlszeilenprogramm sicher, dass das Datenverzeichnis festgelegt ist:

command Kopieren

sudo -u postgres psql -c 'show data_directory'

Vorbereiten der Linux-VM für Hypervisor

Wenn Sie den Linux VDA als virtuelle Maschine auf einem unterstützten Hypervisor ausführen, sind einige Änderungen erforderlich. Nehmen Sie entsprechend der verwendeten Hypervisorplattform die folgenden Änderungen vor. Wenn Sie die Linux-Maschine auf Bare-Metal-Hardware ausführen, sind keine Änderungen erforderlich.

Festlegen der Zeitsynchronisierung auf Citrix XenServer

Wenn das Zeitsynchronisierungsfeature auf XenServer aktiviert ist, treten auf den paravirtualisierten Linux-VMs Probleme auf, da NTP und XenServer gleichzeitig versuchen, die Systemuhr zu verwalten. Damit es nicht zu Zeitabweichungen zwischen der Uhr und den anderen Servern kommt, muss die Systemuhr aller Linux-Gäste mit dem NTP synchronisiert werden. Dazu muss die Hostzeitsynchronisierung deaktiviert werden. Im HVM-Modus sind keine Änderungen erforderlich.

Auf einigen Linux-Distributionen, auf denen ein paravirtualisierter Linux-Kernel mit installierten XenServer-Tools ausgeführt wird, können Sie direkt in der Linux-VM prüfen, ob das XenServer- Zeitsynchronisierungsfeature vorhanden und aktiviert ist:

command Kopieren

su -

cat /proc/sys/xen/independent_wallclock

Mögliche Ergebnisse:

  • 0: Das Zeitsynchronisierungsfeature ist aktiviert und muss deaktiviert werden.
  • 1: Das Zeitsynchronisierungsfeature ist deaktiviert und keine weitere Aktion ist erforderlich.

Wenn die Datei /proc/sys/xen/indepent_wallclock nicht vorhanden ist, sind die folgenden Schritte nicht erforderlich.

Wenn das Zeitsynchronisierungsfeature aktiviert ist, deaktivieren Sie es, indem Sie "1" in die Datei eingeben:

command Kopieren

sudo echo 1 > /proc/sys/xen/independent_wallclock

Damit die Änderung permanent wird und nach dem Neustart erhalten bleibt, bearbeiten Sie die Datei /etc/sysctl.conf und fügen Sie die folgende Zeile hinzu:

command Kopieren

xen.independent_wallclock = 1

Starten Sie das System neu, um die Änderungen zu überprüfen:

command Kopieren

su -

cat /proc/sys/xen/independent_wallclock

Der Wert "1" sollte zurückgegeben werden.

Festlegen der Zeitsynchronisierung auf Microsoft Hyper-V

Linux-VMs, auf denen Hyper-V Linux-Integrationsdienste installiert sind, können mit dem Hyper-V-Zeitsynchronisierungsfeature die Systemzeit des Hostbetriebssystems verwenden. Um sicherzustellen, dass die Betriebssystemzeit korrekt ist, sollten Sie das Feature zusätzlich zu den NTP-Diensten aktivieren.

Auf dem verwaltenden Betriebssystem:

  1. Öffnen Sie die Hyper-V-Manager-Konsole. 
  2. Wählen Sie für die Einstellungen einer Linux-VM Integrationsdienste
  3. Stellen Sie sicher, dass Zeitsynchronisierung ausgewählt ist. 

Hinweis

Diese Methode unterscheidet sich von VMware und XenServer, wo die Hostzeitsynchronisierung deaktiviert ist, um Konflikte mit dem NTP zu vermeiden. Hyper-V-Zeitsynchronisierung kann gleichzeitig mit der NTP-Zeitsynchronisierung bestehen und sie ergänzen.

Festlegen der Zeitsynchronisierung auf ESX und ESXi

Wenn das VMware-Zeitsynchronisierungsfeature aktiviert ist, treten auf den paravirtualisierten Linux-VMs Probleme auf, da NTP und der Hypervisor gleichzeitig versuchen, die Systemuhr zu verwalten. Damit es nicht zu Zeitabweichungen zwischen der Uhr und den anderen Servern kommt, muss die Systemuhr aller Linux-Gäste mit dem NTP synchronisiert werden. Dazu muss die Hostzeitsynchronisierung deaktiviert werden.

Wenn Sie einen paravirtualisierten Linux-Kernel ausführen und VMware-Tools installiert sind:

  1. Öffnen Sie den vSphere-Client.
  2. Bearbeiten Sie die Einstellungen für die Linux-VM.
  3. Öffnen Sie im Dialogfeld Virtual Machine Properties die Registerkarte Options.
  4. Wählen Sie VMware Tools.
  5. Deaktivieren Sie im Feld "Advanced" das Kontrollkästchen Synchronize guest time with host.

Hinzufügen einer Linux-Maschine zu einer Windows-Domäne

Linux-Maschinen können mit verschiedenen Methoden der Active Directory-Domäne hinzugefügt werden, die von XenDesktop für Linux unterstützt wird:

  • Samba Winbind
  • Quest Authentication Service
  • Centrify DirectControl

Folgen Sie den Anweisungen unten für die von Ihnen gewählte Methode.

Samba Winbind

Installieren oder Aktualisieren der erforderlichen Pakete

Installieren oder aktualisieren Sie die erforderlichen Pakete:

command Kopieren

sudo yum -y install samba-winbind \

samba-winbind-clients \

krb5-workstation \

authconfig \

oddjob-mkhomedir

Starten des Winbind-Daemon beim Booten

Der Winbind-Daemon muss zum Starten beim Booten konfiguriert werden:

command Kopieren

sudo /sbin/chkconfig winbind on

Konfigurieren der Winbind-Authentifizierung

Konfigurieren Sie die Maschine für die Kerberos-Authentifizierung mit Winbind:

command Kopieren

sudo authconfig \

--disablecache \

--disablesssd \

--disablesssdauth \

--enablewinbind \

--enablewinbindauth \

--disablewinbindoffline \

--smbsecurity=ads \

--smbworkgroup=domain \

--smbrealm=REALM \

--krb5realm=REALM \

--krb5kdc=fqdn-of-domain-controller \

--winbindtemplateshell=/bin/bash \

--enablemkhomedir --updateall

REALM ist der Kerberos-Bereichsname in Großbuchstaben und domain ist der kurze NetBIOS-Name der Active Directory-Domäne.

Wenn DNS-basierte Suchvorgänge nach dem KDC-Server und -Bereichsname erforderlich sind, fügen Sie dem oben aufgeführten Befehl die folgenden beiden Optionen hinzu:

command Kopieren

--enablekrb5kdcdns --enablekrb5realmdns

Ignorieren Sie alle Fehler hinsichtlich des Winbind-Dienststarts, die vom Befehl "authconfig" zurückgegeben wurden. Diese sind darauf zurückzuführen, dass authconfig versucht, den Winbind-Dienst zu starten, bevor die Maschine mit einer Domäne verbunden wurde.

Öffnen Sie die Datei /etc/samba/smb.conf und fügen Sie im Abschnitt [Global] nach dem vom authconfig-Tool erstellten Abschnitt die folgenden Einträge hinzu.

command Kopieren

kerberos method = secrets and keytab

winbind refresh tickets = true

Der Linux VDA benötigt die Systemdatei für die Schlüsseltabelle /etc/krb5.keytab, um sich beim Delivery Controller zu authentifizieren und zu registrieren. Die Einstellung "kerberos method" zwingt Winbind zum Erstellen der Systemdatei für die Schlüsseltabelle, wenn die Maschine der Domäne beitritt. 

Beitreten zu einer Windows-Domäne

Es wird vorausgesetzt, dass der Domänencontroller erreichbar ist und dass Sie über ein Active Directory-Benutzerkonto mit Berechtigungen zum Hinzufügen von Computern zur Domäne verfügen:

command Kopieren

sudo net ads join REALM -U user

REALM ist der Kerberos-Bereichsname in Großbuchstaben und user ist ein Domänenbenutzer mit Berechtigungen zum Hinzufügen von Computern zur Domäne.

Konfigurieren von PAM für Winbind

Standardmäßig wird bei der Konfiguration des Winbind PAM-Moduls (pam_winbind) nicht das Zwischenspeichern von Kerberos-Tickets und das Erstellen von Basisverzeichnissen aktiviert. Öffnen Sie die Datei /etc/security/pam_winbind.conf und ändern Sie die folgenden Einträge im Abschnitt [Global] oder fügen Sie sie hinzu:

command Kopieren

krb5_auth = yes

krb5_ccache_type = FILE

mkhomedir = yes

Entfernen Sie ggf. den Einstellungen vorangehende Semikolons. Diese Änderungen erfordern den Neustart des Winbind-Daemon:

command Kopieren

sudo /sbin/service winbind restart

Tipp

Der Winbind-Daemon wird nur weiterhin ausgeführt, wenn die Maschine zu einer Domäne gehört.

Öffnen Sie die Datei /etc/krb5.conf und ändern Sie im Abschnitt [libdefaults] die folgende Einstellung von KEYRING in FILE:

command Kopieren

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

Überprüfen der Domänenmitgliedschaft

Für den XenDesktop Controller ist es erforderlich, dass alle VDA-Maschinen, Windows und Linux, ein Computerobjekt in Active Directory haben.

Vergewissern Sie sich mit dem Samba-Befehl net ads sicher, dass die Maschine zu einer Domäne gehört:

command Kopieren

sudo net ads testjoin

Überprüfen Sie zusätzliche Domänen- und Computerobjektinformationen mit folgendem Befehl:

command Kopieren

sudo net ads info

Überprüfen der Kerberos-Konfiguration

Überprüfen Sie, ob Kerberos zur Verwendung mit dem Linux VDA ordnungsgemäß konfiguriert ist, indem Sie sicherstellen, dass die Systemdatei für die Schlüsseltabelle erstellt wurde und gültige Schlüssel enthält:

command Kopieren

sudo klist -ke

Daraufhin sollte die Liste der Schlüssel angezeigt werden, die für die verschiedenen Kombinationen aus Prinzipalnamen und Verschlüsselungssammlungen verfügbar sind. Führen Sie den Kerberos-Befehl "kinit" aus, um die Maschine bei dem Domänencontroller mit diesen Schlüsseln zu authentifizieren:

command Kopieren

sudo kinit -k MACHINE\$@REALM

Maschinen- und Bereichsname müssen in Großbuchstaben angegeben werden und das Dollarzeichen ($) muss durch einen umgekehrten Schrägstrich (\) geschützt werden, um die Ersetzung in der Shell zu verhindern. In einigen Umgebungen sind DNS-Domänenname und Kerberos-Bereichsname unterschiedlich. Stellen Sie sicher, dass der Bereichsname verwendet wird. Wenn dieser Befehl erfolgreich ist, wird keine Ausgabe angezeigt.

Stellen Sie mit folgendem Befehl sicher, dass das TGT-Ticket für das Maschinenkonto zwischengespeichert wurde:

Code Kopieren

sudo klist

Überprüfen Sie die Maschinenkontodetails mit folgendem Befehl:

command Kopieren

sudo net ads status

Überprüfen der Benutzerauthentifizierung

Vergewissern Sie sich mit dem Tool wbinfo, dass Domänenbenutzer sich bei der Domäne authentifizieren können:

command Kopieren

wbinfo --krb5auth=domain\\username%password

Die hier angegebene Domäne ist der AD-Domänenname und nicht der Kerberos-Bereichsname. Für die Bash-Shell muss der umgekehrte Schrägstrich (\) durch einen weiteren umgekehrten Schrägstrich geschützt werden. Bei diesem Befehl wird eine Erfolgs- oder Fehlermeldung zurückgegeben.

Um sich zu vergewissern, dass das Winbind PAM-Modul richtig konfiguriert ist, melden Sie sich lokal mit einem Domänenbenutzerkonto an, mit dem noch nie eine Anmeldung an der Maschine vorgenommen wurde:

command Kopieren

ssh localhost -l domain\\username

id -u

Stellen Sie sicher, dass die Tickets im Kerberos-Anmeldeinformationscache des Benutzers gültig und nicht abgelaufen sind:

command Kopieren

klist

Beenden Sie die Sitzung:

command Kopieren

exit

Ein ähnlicher Test kann ausgeführt werden, wenn Sie sich direkt an der Gnome- oder KDE-Konsole anmelden.

Quest Authentication Service

Konfigurieren von Quest auf dem Domänencontroller

Es wird vorausgesetzt, dass Sie die Quest-Software auf den Active Directory-Domänencontrollern installiert und konfiguriert haben und über Administratorrechte zum Erstellen von Computerobjekten in Active Directory verfügen.

Domänenbenutzern die Anmeldung an Linux VDA-Maschinen ermöglichen

Für alle Domänenbenutzer, die HDX-Sitzungen auf einer Linux VDA-Maschine herstellen, führen Sie folgende Schritte aus:

  1. Öffnen Sie in der Verwaltungskonsole für Active Directory-Benutzer und -Computer die Active Directory-Eigenschaften für das jeweilige Benutzerkonto.
  2. Wählen Sie die Registerkarte Unix Account aus.
  3. Aktivieren Sie das Kontrollkästchen Unix-enabled.
  4. Legen Sie Primary GID Number auf die Gruppen-ID einer vorhandenen Domänenbenutzergruppe fest.

Hinweis

Mit diesen Anleitungen können Domänenbenutzer für die Anmeldung mit der Konsole, RDP, SSH oder anderen Remotingprotokollen eingerichtet werden.

Konfigurieren von Quest auf Linux VDA 

Workaround bei SELinux-Richtlinienerzwingung

In der RHEL-Standardumgebung wird SELinux vollständig erzwungen. Das beeinträchtigt die von Quest verwendeten IPC-Methoden der Unix-Domänensockets und verhindert, dass Domänenbenutzer sich anmelden.

Tipp

Hier finden Sie einige Workarounds.

Am einfachsten ist es, SELinux zu deaktivieren. Bearbeiten Sie als Root-Benutzer die Datei /etc/selinux/config und ändern Sie die SELinux-Einstellung:

command Kopieren

SELINUX=disabled

Diese Änderung erfordert einen Neustart:

command Kopieren

reboot

Important

Seien Sie vorsichtig beim Verwenden dieser Einstellung. Das erneute Aktivieren der SELinux-Richtlinienerzwingung nach ihrer Deaktivierung kann selbst für den Root-Benutzer und anderen lokale Benutzer zu einer vollständigen Sperrung führen. 

Konfigurieren des VAS-Daemon

Die automatische Erneuerung von Kerberos-Tickets muss aktiviert und getrennt sein. Authentifizierung (für Offlineanmeldung) muss deaktiviert sein:

command Kopieren

sudo /opt/quest/bin/vastool configure vas vasd \

     auto-ticket-renew-interval 32400

sudo /opt/quest/bin/vastool configure vas vas_auth \

     allow-disconnected-auth false

Hiermit wird das Verlängerungsintervall auf 9 Stunden (32400 Sekunden) festgelegt. Das ist eine Stunde weniger als die Standardgültigkeitsdauer (10 Stunden) eines Tickets. Bei Systemen mit einer kürzeren Ticketgültigkeitsdauer legen Sie diesen Parameter auf einen niedrigeren Wert fest.

Konfigurieren von PAM und NSS

Quest erfordert, dass PAM und NSS manuell konfiguriert werden, um Domänenbenutzern die Anmeldung per HDX und anderen Diensten, wie SU, SSH und RDP, zu ermöglichen. Konfigurieren von PAM und NSS:

command Kopieren

sudo /opt/quest/bin/vastool configure pam

sudo /opt/quest/bin/vastool configure nss

Beitreten zu einer Windows-Domäne

Machen Sie die Linux-Maschine mit dem Quest-Befehl "vastool" zu einem Mitglied der Active Directory-Domäne:

command Kopieren

sudo /opt/quest/bin/vastool -u user join domain-name

Der Benutzer ist ein beliebiger Domänenbenutzer mit der Berechtigung, Computer zu Mitgliedern der Active Directory-Domäne zu machen. Der Domänenname ist der DNS-Name der Domäne, z. B. example.com.

Überprüfen der Domänenmitgliedschaft

Für den XenDesktop Controller ist es erforderlich, dass alle VDA-Maschinen, Windows und Linux, ein Computerobjekt in Active Directory haben. Mit folgendem Befehl prüfen Sie, ob eine per Quest angemeldete Linux-Maschine zur Domäne gehört:

command Kopieren

sudo /opt/quest/bin/vastool info domain

Wenn die Maschine zu einer Domäne gehört, wird der Domänenname zurückgegeben. Wenn sie nicht zur Domäne gehört, wird die folgende Fehlermeldung angezeigt:

command Kopieren

ERROR: No domain could be found.

ERROR: VAS_ERR_CONFIG: at ctx.c:414 in _ctx_init_default_realm

default_realm not configured in vas.conf. Computer may not be joined to domain

Überprüfen der Benutzerauthentifizierung

Um sicherzustellen, dass Quest Domänenbenutzer mit PAM authentifizieren kann, melden Sie sich mit einem Domänenbenutzerkonto an, mit dem noch nie eine Anmeldung an der Maschine vorgenommen wurde:

command Kopieren

ssh localhost -l domain\\username

id -u

Vergewissern Sie sich, dass eine entsprechende Cachedatei mit Kerberos-Anmeldeinformationen für die mit dem Befehl id -u zurückgegebene UID erstellt wurde:

command Kopieren

ls /tmp/krb5cc_uid

Stellen Sie sicher, dass die im Tickets Kerberos-Anmeldeinformationscache des Benutzers gültig und nicht abgelaufen sind:

command Kopieren

/opt/quest/bin/vastool klist

Beenden Sie die Sitzung:

command Kopieren

exit

Ein ähnlicher Test kann ausgeführt werden, wenn Sie sich direkt an der Gnome- oder KDE-Konsole anmelden.

Centrify DirectControl

Beitreten zu einer Windows-Domäne

Wenn der Centrify DirectControl Agent installiert ist, machen Sie die Linux-Maschine mit dem Centrify-Befehl adjoin zu einem Mitglied der Active Directory-Domäne:

command Kopieren

su – 

adjoin -w -V -u user domain-name

Der Parameter user ist ein Active Directory-Domänenbenutzer mit der Berechtigung, Computer zu Mitgliedern von Active Directory-Domänen zu machen. Der Parameter "domain-name" ist der Name der Domäne, der die Linux-Maschine beitritt.

Überprüfen der Domänenmitgliedschaft

Für den XenDesktop Controller ist es erforderlich, dass alle VDA-Maschinen, Windows und Linux, ein Computerobjekt in Active Directory haben. Mit folgendem Befehl prüfen Sie, ob eine per Centrify hinzugefügte Linux-Maschine Mitglied der Domäne ist:

command Kopieren

su –

adinfo

Stellen Sie sicher, dass der Wert Joined to domain gültig ist und dass CentrifyDC mode den Wert connected zurückgibt. Wenn der Modus im Startzustand stecken bleibt, hat der Centrify-Client Serververbindungs- oder Authentifizierungsprobleme.

Umfassendere System- und Diagnoseinformationen sind mit folgenden Befehlen verfügbar:

command Kopieren

adinfo --sysinfo all

adinfo –diag

Testen der Verbindung mit den verschiedenen Active Directory- und Kerberos-Diensten:

command Kopieren

adinfo --test

Installieren von NVIDIA GRID-Treibern 

Zum Aktivieren von HDX 3D Pro sind weitere Installationsschritte erforderlich, um die erforderlichen Grafiktreiber auf dem Hypervisor und auf den VDA-Maschinen zu installieren.

Konfigurieren Sie Folgendes:

  1. Citrix XenServer 
  2. VMware ESX

Folgen Sie den Anweisungen für den von Ihnen gewählten Hypervisor.

Citrix XenServer 

In diesem Abschnitt wird die Installation und Konfiguration von NVIDIA GRID-Treibern unter Citrix XenServer detailliert beschrieben. 

VMware ESX 

Installieren und konfigurieren Sie die NVIDIA GRID-Treiber für VMware ESX entsprechend den Informationen in diesem Dokument.

VDA-Maschinen 

Führen Sie die folgenden Schritte aus, um die Treiber für die Linux-VM-Gäste zu installieren und zu konfigurieren:

  1. Stellen Sie zu Beginn sicher, dass die Linux-VM heruntergefahren ist.
  2. Fügen Sie in XenCenter der VM eine GPU im GPU-Passthrough-Modus hinzu.
  3. Starten Sie die RHEL-VM.

Zum Vorbereiten der Maschine für die NVIDIA GRID-Treiber sind die folgenden Schritte erforderlich:

command Kopieren

# yum install gcc

# yum install "kernel-devel-uname-r == $(uname -r)"

# systemctl set-default multi-user.target

Wenn Sie diese Schritte ausgeführt haben, folgen Sie den Anleitungen im Red Hat Enterprise Linux-Dokument zum Installieren des NVIDIA GRID-Treibers.

Hinweis

Wählen Sie während der GPU-Treiberinstallation für jede Frage den Standardwert ("no"). 

Important

Wenn GPU-Passthrough aktiviert wurde, ist über XenCenter kein Zugriff auf die Linux-VM mehr möglich, daher müssen Sie SSH zum Herstellen einer Verbindung verwenden.

localized image

Legen Sie die richtige Konfiguration für die Karte fest:

command Kopieren

etc/X11/ctx-nvidia.sh

Um die hohen Auflösungen und Multimonitorfunktionen nutzen zu können, benötigen Sie eine gültige NVIDIA-Lizenz. Anleitungen zum Anwenden der Lizenz finden Sie in der Produktdokumentation in "GRID Licensing Guide.pdf - DU-07757-001 September 2015".